Sécuriser les appareils : Guide de l'architecture de sécurité des plates-formes (PSA)

L'architecture de sécurité de la plateforme (PSA) est un cadre permettant de sécuriser un trillion d'appareils connectés. Pour plus de détails sur la PSA, lisez la première partie de cet article. L'application de la PSA se compose de quatre phases clés, chacune d'entre elles étant accompagnée d'une documentation et d'un guide.

• Phase 1 : Analyser avec des modèles de menaces et des analyses de sécurité
• Phase 2 : élaborer une architecture à l'aide de spécifications d'architecture
• Phase 3 : Mise en œuvre avec Trusted Firmware-M
• Phase 4 : Certifier avec PSA Certified et PSA Functional API Certification
• Conclusion

Lors de la conception d'un système sécurisé, il est nécessaire d'effectuer une analyse des risques et de créer un modèle de menace, en tenant compte des facteurs clés. Il s'agit notamment des éléments suivants

• les actifs à protéger
• Toutes les menaces potentielles
• la portée et la gravité de ces menaces
• les différents types d'attaquants et les méthodes qu'ils peuvent utiliser pour exploiter les vulnérabilités.

À partir de cette recherche, les objectifs de sécurité peuvent être déterminés et les exigences fonctionnelles de sécurité établies pour atténuer les menaces. Arm a développé des exemples de modèles de menaces, disponibles au téléchargement via la page des ressources PSA. Ces modèles ont été créés à partir d'une analyse approfondie de trois cas d'utilisation courants de l'IdO. Des principes de sécurité généralement applicables peuvent être dérivés de ces analyses et sont ensuite utilisés pour guider le développement des documents de spécification de l'architecture.

Les modèles de menace ont été créés à l'aide d'une approche de type profil de protection en langue anglaise, afin d'établir un ensemble d'exigences fonctionnelles de sécurité pour la cible d'évaluation (TOE). Chaque profil prend en compte la description fonctionnelle, la TOE et les exigences de sécurité nécessaires. La documentation est destinée à rendre la modélisation des menaces plus accessible et plus utilisable par les ingénieurs, qu'ils aient ou non des connaissances ou une expertise préalables en matière de sécurité. Un exemple d'analyse de haut niveau est illustré ci-dessous.

Après l'analyse d'un appareil, des recommandations de sécurité sont formulées sur la base de la valeur des actifs de l'appareil et de la liste des attaques potentielles qui menacent ces actifs. La phase 2 se concentre sur la création d'une architecture de système capable de répondre aux exigences de sécurité, et décrit cette architecture dans les spécifications de l'EPS.

Les spécifications de la PSA consistent en une série de documents reliés entre eux, comme suit :

• Modèle de sécurité de la PSA - Modèles et schémas de confiance fondamentaux
• Factory Initialization - Exigences relatives à la programmation et à la configuration initiales des dispositifs sécurisés (à venir)
• Architecture du système de base de confiance - Exigences relatives à la plate-forme matérielle
• Démarrage sécurisé et mise à jour du micrologiciel
• Cadre du micrologiciel - Définition de l'interface du micrologiciel d'un environnement de traitement sécurisé pour les plates-formes IoT soumises à des contraintes.
• Environnement de traitement sécurisé pour les plateformes IoT à contraintes, y compris les API de la racine de confiance de la PSA
• API pour les développeurs - Interfaces avec les services de sécurité pour les développeurs d'applications

Trusted Firmware-M (TF-M) est une implémentation de référence des spécifications PSA, pour les dispositifs IoT basés sur des plateformes M-Profile. L'implémentation pour les processeurs Arm Cortex-M s'appuie sur la technologie TrustZone d'Arm. TF-M est un projet open source, à gouvernance ouverte, disponible sur www.trustedfirmware.org, parallèlement au projet Trusted Firmware-A existant qui cible les appareils mobiles équipés de processeurs Cortex-A. D'autres partenaires de l'écosystème peuvent fournir d'autres implémentations. D'autres partenaires de l'écosystème peuvent fournir d'autres implémentations.

L'étape de certification utilise le schéma PSA Certified pour fournir une évaluation indépendante de la sécurité des systèmes IoT basés sur la PSA. PSA Certified est un programme de test de sécurité indépendant conçu par plusieurs entreprises membres du PSA Joint Stakeholder Agreement. PSA Certified permet de tester les puces et les dispositifs IoT dans des conditions de laboratoire, d'évaluer leur niveau de sécurité et d'aider les développeurs et les clients à être sûrs qu'ils peuvent atteindre le niveau de sécurité dont ils ont besoin. En collaboration avec des laboratoires d'essai de premier plan, PSA Certified fournit une assurance à plusieurs niveaux pour les dispositifs, en fonction des exigences de sécurité établies par l'analyse des menaces pour un cas d'utilisation spécifique. Il existe deux types de certification : la certification de sécurité à plusieurs niveaux et la certification fonctionnelle de l'API. PSA Certified fournit une assurance à plusieurs niveaux et un schéma de robustesse, pour répondre aux besoins de sécurité de cas d'utilisation spécifiques. Le système de certification fait appel à des laboratoires d'essai indépendants pour examiner les exigences de sécurité des parties génériques des plateformes IoT et des systèmes sur puce. Il existe trois niveaux progressifs de certification de sécurité :

Pour atteindre le premier niveau de certification PSA, il faut remplir un questionnaire de sécurité critique, basé sur les objectifs du modèle de sécurité PSA et les modèles de menace de l'IdO. Il existe différents formulaires selon que vous êtes un fabricant de puces, un fournisseur de système d'exploitation ou un fabricant d'appareils. Une fois rempli, le questionnaire est examiné en même temps qu'un contrôle de votre produit par un laboratoire certifié par la PSA.

Le niveau 2 s'adresse aux fabricants de puces et comprend une évaluation en laboratoire de 25 jours par rapport au profil de protection PSA Root of Trust (PSA-RoT). Cette évaluation limitée dans le temps rend le système abordable et efficace, et teste les attaques logicielles et matérielles légères.

Le niveau 3 prendra en charge des attaques plus importantes, telles que le canal latéral et l'altération physique, et sera commercialisé dans un avenir proche. Il est également possible de procéder à des évaluations supplémentaires au niveau des appareils, par exemple des appareils spécifiques à des marchés verticaux. Nous partagerons plus d'informations à ce sujet dans le courant de l'année.

Les appareils IoT présentent de multiples surfaces de menace pour les pirates qui veulent utiliser des appareils compromis, comme l'accès aux réseaux IoT, aux applications et aux ressources de l'entreprise. Parmi les techniques d'atténuation, le démarrage sécurisé semble être un élément essentiel d'une stratégie de sécurité plus large. Cependant, la mise en œuvre de tests logiciels appropriés et personnalisés pour le matériel utilisé peut garantir une plus grande sécurité grâce à l'architecture de sécurité de la plateforme (PSA). La PSA rassemble les meilleures pratiques de l'industrie pour former un ensemble holistique de documentation d'architecture, d'analyse et d'exigences de sécurité, ainsi qu'une mise en œuvre du micrologiciel de référence open source. La réduction de la fragmentation de la sécurité de bas niveau, grâce aux outils d'Arm, permet le développement d'un écosystème sûr qui fonctionne pour tout le monde : les partenaires silicium, les OEM, les propriétaires de plates-formes, les fournisseurs de services, les consommateurs et la communauté élargie des développeurs. Nous invitons l'écosystème Arm à développer et à étendre notre travail sur PSA et Trusted Firmware-M.